Pelo amor de Deus não use strip_tags, strip_links e nem sanitize

Publicado por Carlos Brando em 01 de Setembro de 2007

Encontrei este post no Ruby on Rails Security Blog.

O autor aqui cita três métodos que usamos constatemente e como eles representam uma falha de segurança no Rails.

Veja estes dois exemplos abaixo:

O código acima vai retornar: “sdfasdf<script>alert(’hello’)</script>”

E este código retorna “<a xhref=’http://www.attacker.com/’>Test</a>”

Segundo o autor do post, este problema já foi reportado mas os métodos não devem ser alterados até a versão 2.0 do Rails. Por isto, cuidado ao usá-los crianças…

Trackbacks

Use este link para fazer o trackback do seu site.

Comentários

Deixe um comentário

Comentários